您所在的位置:首页 > 预警信息
上周关注度较高的产品安全漏洞(20240205-20240218)
2024-02-23 16:55:37    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、IBM Tivoli Application Dependency Discovery Manager HTTP头部注入漏洞

IBM Tivoli Application Dependency Discovery Manager(TADDM)是美国国际商业机器(IBM)公司的一套IT服务管理解决方案中的产品。该产品提供了健全的自动化应用程序映射和发现,帮助管理员了解业务应用程序的结构、状态、配置和变更历史记录。IBM Tivoli Application Dependency Discovery Manager 7.3.0.0版本到7.3.0.10版本存在HTTP头部注入漏洞,该漏洞源于HOST标头未对输入进行正确验证,攻击者可利用该漏洞对易受攻击的系统进行各种攻击,包括跨站点脚本、缓存中毒或会话劫持。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-07606

2、IBM Security Access Manager未授权访问漏洞

IBM Security Access Manager是美国国际商业机器(IBM)公司的一款应用于信息安全管理的产品。该产品通过面向Web、移动和云计算的集成设备来实现访问管理控制。IBM Security Access Manager存在未授权访问漏洞,攻击者可利用该漏洞使用空密码登录到服务器。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-07609 

3、IBM Cloud Pak System信息泄露漏洞(CNVD-2024-07607)

IBM Cloud Pak System是美国国际商业机器(IBM)公司的一套具有可配置、预集成软件的全栈、融合基础架构。该产品支持跨混合云部署、管理和移动应用程序环境。IBM Cloud Pak System 2.3.1.1、2.3.2.0和2.3.3.7版本存在信息泄露漏洞,攻击者可利用该漏洞暴力破解帐户凭据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-07607 

4、IBM Security Verify Access拒绝服务漏洞

IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT 和云技术等平台安全简单的访问。IBM Security Verify Access存在拒绝服务,攻击者可利用该漏洞受到DSC服务器上的拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-07612 

5、IBM Security Verify Access权限提升漏洞

IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT和云技术等平台安全简单的访问。IBM Security Verify Access存在权限提升漏洞,该漏洞源于安全配置错误,攻击者可利用该漏洞提升权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-07613

二、境内厂商产品漏洞

1、北京神州绿盟科技有限公司绿盟WAF存在命令执行漏洞(CNVD-2024-07088)

北京神州绿盟科技有限公司是一家以从事科技推广和应用服务业为主的企业。北京神州绿盟科技有限公司绿盟WAF存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-07088 

2、四创科技有限公司河长制综合管理系统存在逻辑缺陷漏洞

四创科技有限公司是中国减灾兴利信息服务提供商。四创科技有限公司河长制综合管理系统存在逻辑缺陷漏洞,攻击者可利用该漏洞绕过系统认证进行登录。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-07413 

3、北京海量数据技术股份有限公司vastbase存在逻辑缺陷漏洞

vastbase是一种海量数据库。北京海量数据技术股份有限公司vastbase存在逻辑缺陷漏洞,攻击者可利用该漏洞通过构造特殊的SQL语句,绕过所有动态脱敏策略,从而查看脱敏前的原始数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-07403 

4、杭州合众数据技术有限公司合众视频安全交换接入系统存在命令执行漏洞

杭州合众数据技术有限公司(简称“合众数据”),成立于2003年,是一家专门从事数据安全与大数据领域研发、生产和销售的高科技公司。杭州合众数据技术有限公司合众视频安全交换接入系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-07383

5、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在任意文件下载漏洞(CNVD-2024-05347)

电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统,采用实时动态加解密保护技术和实时权限回收机制,提供对各类电子文档内容级的安全保护。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在任意文件下载漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-05347